第一篇：關(guān)于電信網(wǎng)絡(luò)安全問(wèn)題的分析

關(guān)于電信網(wǎng)絡(luò)安全問(wèn)題分析

-------鄭洪偉

隨著電信運(yùn)營(yíng)商網(wǎng)絡(luò)的不斷擴(kuò)大、用戶量不斷增加。網(wǎng)絡(luò)安全和用戶管控問(wèn)題越來(lái)越受大家關(guān)注。網(wǎng)絡(luò)IP化的成熟程度直接決定了互聯(lián)網(wǎng)和移動(dòng)寬帶的性能和穩(wěn)定性。

一、目前，網(wǎng)絡(luò)安全問(wèn)題主要體現(xiàn)：

1.網(wǎng)絡(luò)設(shè)備受到各種DDOS(分布式拒絕服務(wù)攻擊)攻擊、試圖非法登陸等情況。

2.網(wǎng)絡(luò)設(shè)備管理和防止數(shù)據(jù)外泄及篡改方面。

3.各種僵尸網(wǎng)絡(luò)、木馬成為新的技術(shù)威脅手段。

4.無(wú)法對(duì)用戶端不合法的上網(wǎng)行為進(jìn)行管控。用戶端存在“一拖N”情況，無(wú)法進(jìn)行控制，浪費(fèi)了大量的城域網(wǎng)帶寬資源。

5.缺少網(wǎng)絡(luò)集中的日志存放和分析審計(jì)系統(tǒng)。

二、全省城域網(wǎng)安全問(wèn)題可以分幾個(gè)層面做安全防護(hù):

1、是網(wǎng)絡(luò)本身，我們可以通過(guò)安全域的劃分使網(wǎng)絡(luò)的結(jié)構(gòu)趨于合理，安全域趨于合理；

2、設(shè)備本身，（1）核心交換設(shè)備對(duì)安全性能的要求包括：

① 采用無(wú)阻塞交換設(shè)備；

② 采用逐包轉(zhuǎn)發(fā)、分布處理、Wred(擁塞控制)等QoS(服務(wù)質(zhì)量)技術(shù)，避免流Cache（緩沖存儲(chǔ)器）模型造成系統(tǒng)崩潰；

③ 節(jié)點(diǎn)關(guān)鍵設(shè)備冗余備份，系統(tǒng)出現(xiàn)軟硬件故障時(shí)，可迅速切換到備用模塊；

④ 網(wǎng)絡(luò)設(shè)備采用多極安全密碼體系，限制非法設(shè)備和用戶登錄；

⑤ 實(shí)現(xiàn)路由認(rèn)證，保證路由協(xié)議安全；

⑥ 支持SNMP V3(簡(jiǎn)單網(wǎng)絡(luò)協(xié)議)，安全網(wǎng)管；

⑦ 流量監(jiān)控。

（2）城域網(wǎng)匯聚層設(shè)備安全

匯聚層負(fù)責(zé)匯集分散的接入點(diǎn)進(jìn)行數(shù)據(jù)交換，提供流量控制和用戶管理（用戶識(shí)別、授權(quán)、認(rèn)證、計(jì)費(fèi)）功能，作為城域網(wǎng)的業(yè)務(wù)提供層面，是可運(yùn)營(yíng)、可管理城域網(wǎng)最重要的組成部分。匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障，更是保障城域網(wǎng)安全性能的關(guān)鍵。

匯聚層設(shè)備的安全特性主要體現(xiàn)在以下幾點(diǎn)：

① 用戶接入網(wǎng)絡(luò)的安全控制，包括加強(qiáng)口令、密碼、智能卡等訪問(wèn)控制手段；

② 保證接入側(cè)用戶相互隔離，保證接入的安全性，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；

③ IP地址與MAC地址、卡號(hào)綁定，能夠準(zhǔn)確定位用戶，包括端口或MAC地址，并可提供追查惡意用戶的手段；

④ 支持限制用戶端口最大接入IP地址數(shù)、PPP(點(diǎn)對(duì)點(diǎn)通訊協(xié)定)會(huì)話數(shù)、TCP(傳輸控制協(xié)議)/UDP(用戶數(shù)據(jù)報(bào)協(xié)議)連接數(shù)，有效防止DDOS類的攻擊；

⑤ 支持訪問(wèn)控制列表（ACL），包括在虛擬路由器中創(chuàng)建ACL列表、采用多種過(guò)濾規(guī)則提供多層次對(duì)目標(biāo)網(wǎng)絡(luò)的保護(hù)，以及禁止部分用戶訪問(wèn)或有選擇地屏蔽網(wǎng)絡(luò)服務(wù)；

⑥ 可實(shí)現(xiàn)對(duì)用戶帶寬的控制CAR（承諾訪問(wèn)速率）；

⑦ 安全日志管理。

從長(zhǎng)遠(yuǎn)看，BRAS（寬帶遠(yuǎn)程接入服務(wù)器）產(chǎn)品也必須考慮用戶的安全防護(hù)措施。如何提供病毒防治、集中安全管理和升級(jí)等手段，將成為提高通信網(wǎng)絡(luò)安全的關(guān)鍵。

（3）城域網(wǎng)接入層設(shè)備安全

通過(guò)各種接入技術(shù)和線路資源實(shí)現(xiàn)用戶覆蓋，提供多業(yè)務(wù)用戶的接入，并配合完成用戶流量的控制功能，包括xDSL、LAN（局域網(wǎng)）和WLAN（無(wú)線局域網(wǎng)）等接入方式。

設(shè)備采用的安全手段包括：

① 用戶隔離；

② 控制用戶流量帶寬。

城域網(wǎng)非信任域設(shè)備的安全保障措施是從城域網(wǎng)分層模型出發(fā)，實(shí)現(xiàn)層層防御，增強(qiáng)網(wǎng)絡(luò)抗攻擊性的能力。

三、是網(wǎng)絡(luò)安全體系的建設(shè)，通過(guò)防火墻、IDS(入侵檢測(cè)系統(tǒng))、IPS(入侵防御系統(tǒng))、異常流量分析和響應(yīng)系統(tǒng)等建立安全體系提供基礎(chǔ)防護(hù)手段；

四、需要建立統(tǒng)一的網(wǎng)絡(luò)安全故障管理平臺(tái)，對(duì)實(shí)時(shí)性網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)基礎(chǔ)故障（如光纜、設(shè)備、數(shù)據(jù)等）進(jìn)行通告。不但，有利于對(duì)在故障處理期間的用戶通知解釋工作。而且對(duì)整個(gè)事件、故障處理過(guò)程的進(jìn)行全程的了解。并能對(duì)事件或故障進(jìn)行總結(jié)學(xué)習(xí)。

網(wǎng)絡(luò)安全是一項(xiàng)非常艱巨和持久的任務(wù)。對(duì)網(wǎng)絡(luò)安全問(wèn)題必須通盤(pán)考慮，進(jìn)行體系化的整體安全設(shè)計(jì)和實(shí)施。既要充分考慮網(wǎng)絡(luò)的安全性能，考慮設(shè)備防攻擊的健壯性，有效實(shí)施設(shè)備相關(guān)安全特性，又要結(jié)合專用的安全產(chǎn)品，采取分域、多層安全保護(hù)措施。既要考慮設(shè)備安全和技術(shù)的因素，又要重視網(wǎng)絡(luò)安全人員在網(wǎng)絡(luò)安全方面所起決定性的作用。

寬帶城域網(wǎng)的建設(shè)和運(yùn)營(yíng)必須全面建立全面的安全防護(hù)體系，才能向用戶提供一個(gè)安全、高速、易用、智能化的網(wǎng)絡(luò)，保證電信網(wǎng)絡(luò)的正常運(yùn)營(yíng)。

第二篇：淺談電信網(wǎng)絡(luò)安全

一、選題的依據(jù)及意義：

老師在課堂也也時(shí)刻點(diǎn)明這我們這個(gè)是隨著互聯(lián)網(wǎng)的興起的時(shí)代,而我們這些IT人又面臨著更新一步的IT技術(shù)。面對(duì)TCP/IP協(xié)議簇的采用,各種應(yīng)用層出不窮,傳統(tǒng)的固定網(wǎng)、移動(dòng)網(wǎng)與互聯(lián)網(wǎng)的聯(lián)系越來(lái)越緊密。有線、無(wú)線等各種接入方式不斷推出,企業(yè)網(wǎng)、ISP、ICP、個(gè)人電腦等都以不同的方式與互聯(lián)網(wǎng)等網(wǎng)絡(luò)相聯(lián)。這樣,雖然用戶使用方便了,但網(wǎng)絡(luò)安全問(wèn)題的威脅也增加了,往往一個(gè)點(diǎn)或一個(gè)地方的問(wèn)題會(huì)影響到其他地方、其他網(wǎng)絡(luò),甚至多個(gè)網(wǎng)絡(luò)。

同時(shí)，我在外面所報(bào)名的華三H3C的NE課程中也認(rèn)識(shí)到網(wǎng)絡(luò)安全問(wèn)題的重要性：當(dāng)前,威脅網(wǎng)絡(luò)安全的主要有木馬程序病毒、蠕蟲(chóng)病毒、電子郵件攻擊、Web攻擊、軟件漏洞、系統(tǒng)漏洞、拒絕服務(wù)(DoS)攻擊、IP地址欺騙、即時(shí)通信攻擊、端到端攻擊、緩沖溢出等。

從上述威脅網(wǎng)絡(luò)的種種可以看出,黑客與病毒的目的不外呼是破壞系統(tǒng)和竊取信息。面對(duì)這一形勢(shì),目前電信網(wǎng)絡(luò)如何增強(qiáng)其安全性呢?

二、本課題研究?jī)?nèi)容：

首先我們就先來(lái)看互聯(lián)網(wǎng)和電信網(wǎng)的特點(diǎn)：

電信網(wǎng)絡(luò)的特點(diǎn)

傳統(tǒng)的電信網(wǎng)絡(luò)(PSTN)是基于電路交換的方式,面向連接,網(wǎng)絡(luò)QoS有保證。其網(wǎng)絡(luò)的安全性體現(xiàn)在網(wǎng)絡(luò)的可靠性和可用性,網(wǎng)絡(luò)的可靠性涵蓋了傳輸系統(tǒng)和相應(yīng)的設(shè)備,可靠性的指標(biāo)很高,設(shè)備間的連接電路也有相同的可靠性要求,并且還設(shè)計(jì)了冗余備份和保護(hù)倒換等技術(shù)來(lái)進(jìn)一步保證系統(tǒng)的可靠性。

PSTN對(duì)用戶的信息是透明的,網(wǎng)絡(luò)保證不對(duì)用戶信息進(jìn)行任何的修改和破壞。用戶信息也不會(huì)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備構(gòu)成任何沖擊和危害。

PSTN的網(wǎng)絡(luò)安全還包含運(yùn)營(yíng)網(wǎng)絡(luò)不得隨意使用加密技術(shù),而對(duì)于個(gè)人用戶的私人保密是以不危及國(guó)家安全為限的。在傳統(tǒng)的電信網(wǎng)中,用戶數(shù)據(jù)加密是有規(guī)定的,普通用戶數(shù)據(jù)是不準(zhǔn)加密的,商密用戶,普密用戶,絕密用戶可以使用密碼技術(shù)加密,但必需經(jīng)過(guò)相關(guān)部門(mén)批準(zhǔn)。

互聯(lián)網(wǎng)的特點(diǎn)

互聯(lián)網(wǎng)是基于分組交換的方式,面向無(wú)連接,網(wǎng)絡(luò)QoS保證較差。互聯(lián)網(wǎng)又可稱為IP網(wǎng),傳統(tǒng)的PSTN網(wǎng)由于是面向連接,一條鏈路要么接通,要么不通,問(wèn)題容易發(fā)現(xiàn)也容易解決。而IP網(wǎng)是無(wú)連接的,其網(wǎng)絡(luò)的路由和流量分配都是隨機(jī)的,不同的流量分配帶來(lái)的網(wǎng)絡(luò)效率也不一樣。IP網(wǎng)絡(luò)攻擊源無(wú)處不在,難以追蹤和查找,使IP網(wǎng)絡(luò)維護(hù)的復(fù)雜性大大增加。

近年來(lái),由于互聯(lián)網(wǎng)的迅猛發(fā)展,新業(yè)務(wù)及傳統(tǒng)業(yè)務(wù)的迅速I(mǎi)P化,終端設(shè)備的智能化,網(wǎng)絡(luò)規(guī)模越來(lái)越大,網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越突出,加上互聯(lián)網(wǎng)的不可管理,不可控制,網(wǎng)絡(luò)只保證通達(dá),而把安全問(wèn)題交給了用戶的一些網(wǎng)絡(luò)設(shè)計(jì)中,這樣就進(jìn)一步惡化。上面所談的一些威脅安全的種類都是由于互聯(lián)網(wǎng)及其業(yè)務(wù)的發(fā)展所引起的。而當(dāng)今互聯(lián)網(wǎng)已把PSTN和移動(dòng)網(wǎng)緊密地聯(lián)系起來(lái)了,如VoIP業(yè)務(wù)的迅猛發(fā)展更是和每個(gè)網(wǎng)絡(luò)有關(guān)系。這樣上述的網(wǎng)絡(luò)安全的種種自然也帶給了電信網(wǎng)絡(luò)。

從客觀來(lái)講二者之間的差異一目了然，可二者的技術(shù)關(guān)聯(lián)是密不可分的?；ヂ?lián)網(wǎng)和電信網(wǎng)的普遍性、加密性、覆蓋面廣決定了我們所依賴此類網(wǎng)絡(luò)的前提。下面我們談?wù)勂浞婪叮?/p>

網(wǎng)絡(luò)安全的防范

網(wǎng)絡(luò)安全的防范是一個(gè)體系和系統(tǒng),必需協(xié)調(diào)法律,技術(shù)和管理三個(gè)方面。要集成防護(hù),監(jiān)測(cè),響應(yīng),恢復(fù)等多種技術(shù)。

網(wǎng)絡(luò)安全的防范是通過(guò)各種計(jì)算機(jī),網(wǎng)絡(luò),密碼和信息安全技術(shù),保護(hù)在網(wǎng)絡(luò)中傳輸,交換和存儲(chǔ)信息的機(jī)密性,完整性和真實(shí)性,并對(duì)信息的傳播及內(nèi)容進(jìn)行控制。

網(wǎng)絡(luò)按全的防范從技術(shù)層次上看,主要有防火墻技術(shù),入侵監(jiān)測(cè)(IDS/IPS,IPS可以做到一手檢測(cè),一手阻擊)技術(shù),數(shù)據(jù)加密技術(shù)和數(shù)據(jù)恢復(fù)技術(shù),此外還有安全協(xié)議,安全審計(jì),身份認(rèn)證,數(shù)字簽名,拒絕服務(wù)等多種技術(shù)手段。這里特別需要指出的是防火墻,防病毒和安全協(xié)議的技術(shù)。防火墻守住網(wǎng)絡(luò)門(mén)戶,防病毒是網(wǎng)絡(luò)的第一把保護(hù)傘,安全協(xié)議提供了身份鑒別,密鑰分配,數(shù)據(jù)加密,防信息重傳,以及通信雙方的不可否認(rèn)性等重要功能。

三、研究目標(biāo)、主要特色及工作進(jìn)度：這里的電信網(wǎng)包括電信,移動(dòng)等運(yùn)營(yíng)商的固定網(wǎng)和移動(dòng)網(wǎng),以及專門(mén)供運(yùn)營(yíng)商使用的專用網(wǎng),如DCN(數(shù)據(jù)通信網(wǎng))等。電信網(wǎng)絡(luò)的安全保障可從以下幾方面考慮:

1.在電信網(wǎng)絡(luò)各節(jié)點(diǎn)處構(gòu)筑防御(如防火墻),防止外網(wǎng)影響內(nèi)網(wǎng)。這里說(shuō)的節(jié)點(diǎn)就是與其他各種網(wǎng)絡(luò)連接的地方,除固定網(wǎng)與移動(dòng)網(wǎng)外,還有ISP,ICP,企業(yè)網(wǎng),個(gè)人電腦等許多終端設(shè)備。

2.建立一個(gè)統(tǒng)一,完善的安全防護(hù)體系,該體系不僅包括防火墻,網(wǎng)關(guān),防病毒及殺毒軟件等產(chǎn)品,還有對(duì)運(yùn)營(yíng)商安全保障的各種綜合性服務(wù)措施,通過(guò)對(duì)網(wǎng)絡(luò)的管理和監(jiān)控,可以在第一時(shí)間發(fā)現(xiàn)問(wèn)題,解決問(wèn)題,防患于未然。

3.在互聯(lián)網(wǎng)日益廣泛應(yīng)用的今天,為保障電信網(wǎng)絡(luò)的安全,必需樹(shù)立全程安全的觀念。全程安全就是在安全的每個(gè)過(guò)程中,如物理層,網(wǎng)絡(luò)層,接入終端,服務(wù)層面,人員管理等每個(gè)和安全有關(guān)的過(guò)程都要添加相應(yīng)的安全措施,并且還要考慮安全隨時(shí)間變化的因素,也就是說(shuō),無(wú)論用戶在任何特定的時(shí)間,用戶的安全性都能得到保障。

4.需要建立安全管理機(jī)制。例如,口令管理;各種密鑰的生成,分發(fā)與管理;全網(wǎng)統(tǒng)一的管理員身份鑒別與授權(quán);建立全系統(tǒng)的安全評(píng)估體系;建立安全審計(jì)制度;建立系統(tǒng)及數(shù)據(jù)的備份制度;建立安全事件/安全報(bào)警反應(yīng)機(jī)制和處理預(yù)案;建立專門(mén)的安全問(wèn)題小組和快速響應(yīng)體系的運(yùn)作等。為了增強(qiáng)系統(tǒng)的防災(zāi)救災(zāi)能力,應(yīng)制定災(zāi)難性事故的應(yīng)急計(jì)劃,如緊急行動(dòng)方案,資源(硬件,軟件,數(shù)據(jù)等)備份及操作計(jì)劃,系統(tǒng)恢復(fù)和檢測(cè)方法等。

5.建立專門(mén)的數(shù)據(jù)容災(zāi)系統(tǒng)。其內(nèi)容主要是數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。數(shù)據(jù)容災(zāi)是指建立一個(gè)異地的數(shù)據(jù)系統(tǒng),該系統(tǒng)是本地關(guān)鍵應(yīng)用的一個(gè)實(shí)時(shí)復(fù)制,當(dāng)本地?cái)?shù)

據(jù)及整個(gè)應(yīng)用系統(tǒng)發(fā)生災(zāi)難時(shí),系統(tǒng)至少在異地保存一份可用的關(guān)鍵業(yè)務(wù)的數(shù)據(jù)。應(yīng)用容災(zāi)是在數(shù)據(jù)容災(zāi)的基礎(chǔ)上在異地建立一套完整的,與本地相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)(可以互為備用),在遇到災(zāi)難時(shí),遠(yuǎn)程系統(tǒng)迅速接管業(yè)務(wù)運(yùn)行。

2、主要特色：網(wǎng)絡(luò)管理是電信網(wǎng)絡(luò)運(yùn)營(yíng)商的重要手段之一。它監(jiān)控網(wǎng)絡(luò)話務(wù)量及路由繁忙的情況,以及設(shè)備及鏈路的可靠運(yùn)行。網(wǎng)絡(luò)管理在網(wǎng)絡(luò)內(nèi)部安全方面具有先天的優(yōu)勢(shì),它可以通過(guò)對(duì)網(wǎng)絡(luò)流量發(fā)生異常的分析及深度檢測(cè),對(duì)IP數(shù)據(jù)進(jìn)行截獲,發(fā)現(xiàn)已知及未知的新型侵入者。通過(guò)網(wǎng)絡(luò)管理中增加的安全手段還可對(duì)多數(shù)安全設(shè)備顧及不到的4-7 層的內(nèi)容安全與網(wǎng)絡(luò)行為的法律取證等采取有效措施。因此,網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全管理相結(jié)合將使電信運(yùn)營(yíng)商能更有效地保障電信網(wǎng)絡(luò)的安全。

第三篇：電信網(wǎng)絡(luò)安全及防護(hù)

電信網(wǎng)絡(luò)安全及防護(hù)

摘 要：電信網(wǎng)絡(luò)的安全問(wèn)題不容忽視。分析了電信網(wǎng)絡(luò)安全現(xiàn)狀，指出了影響電信網(wǎng)絡(luò)安全的主要因素，并從技術(shù)角度提出了防護(hù)措施。

關(guān)鍵詞：電信；網(wǎng)絡(luò)安全；技術(shù)防護(hù)

從20世紀(jì)90年代至今，我國(guó)電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動(dòng)網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來(lái)越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。加強(qiáng)電信網(wǎng)絡(luò)的安全防護(hù)工作，是一項(xiàng)重要的工作。筆者結(jié)合工作實(shí)際，就電信網(wǎng)絡(luò)安全及防護(hù)工作做了一些思考。電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面，在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。

電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性，并專門(mén)成立了相關(guān)的網(wǎng)絡(luò)安全管理部門(mén)，著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機(jī)制，依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái)，也就是SOC平臺(tái)，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作，來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控，完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐，還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開(kāi)放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開(kāi)放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問(wèn)題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易，對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問(wèn)題

2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來(lái)新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運(yùn)營(yíng)商控制，電信用戶無(wú)法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號(hào)碼不在IP包中傳送，一旦出現(xiàn)不法行為，無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān)，確認(rèn)這些用戶的身份需要費(fèi)一番周折，加大了打擊難度。

2.2 新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來(lái)不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見(jiàn)的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng)，每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。2.3 運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

目前，我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備，電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來(lái)由行業(yè)主管部門(mén)對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門(mén)在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題，不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。

2.4 相關(guān)法規(guī)尚不完善，落實(shí)保障措施缺乏力度

當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái)，《信息安全法》還處于研究過(guò)程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開(kāi)發(fā)、市場(chǎng)份額和投資回報(bào)，把經(jīng)濟(jì)效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考

強(qiáng)化電信網(wǎng)絡(luò)安全，應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合，著重考慮以下幾方面。

3.1 發(fā)散性的技術(shù)方案設(shè)計(jì)思路

在采用電信行業(yè)安全解決方案時(shí)，首先需要對(duì)關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點(diǎn)，按照發(fā)散性的思路進(jìn)行安全分析和保護(hù)，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2 網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮：控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn)；劃分并隔離不同安全域；防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí)，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立一個(gè)完善的安全體系，包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御，系統(tǒng)訪問(wèn)控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強(qiáng)系統(tǒng)的總體可控性。

3.3 網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)產(chǎn)品，將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。

3.4 主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò)，它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范，并在中央安全管理平臺(tái)上部署中央管理控制臺(tái)，對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

3.5 系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描

系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門(mén)購(gòu)買(mǎi)其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工具。

第四篇：電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析

電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析

摘要 隨著互聯(lián)網(wǎng)的應(yīng)用，我國(guó)的電信網(wǎng)絡(luò)安全面臨著越來(lái)越多的挑戰(zhàn)。本文對(duì)我國(guó)電信計(jì)算機(jī)網(wǎng)絡(luò)的現(xiàn)狀進(jìn)行了分析，從技術(shù)層面和管理層面出發(fā)提出了改進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全的建議。

關(guān)鍵詞 電信網(wǎng)絡(luò)；計(jì)算機(jī)網(wǎng)絡(luò)；安全

0引言

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的融合，電信企業(yè)建立起了以計(jì)算機(jī)網(wǎng)絡(luò)作為基礎(chǔ)的電信支撐系統(tǒng)。這提高了電信企業(yè)的運(yùn)營(yíng)水平，但是同時(shí)也帶來(lái)了很多新的問(wèn)題。因此，加強(qiáng)電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，讓安全的網(wǎng)絡(luò)為暢通的電信系統(tǒng)保駕護(hù)航至關(guān)重要。本文擬對(duì)電信計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全問(wèn)題進(jìn)行分析，并對(duì)提高電信計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)策略提出了建設(shè)思路。電信計(jì)算機(jī)網(wǎng)絡(luò)的安全現(xiàn)狀

1.1 源自網(wǎng)絡(luò)層面的相關(guān)問(wèn)題

這其中最主要的問(wèn)題是由于網(wǎng)絡(luò)的開(kāi)放性和交互性的增強(qiáng)，計(jì)算機(jī)病毒橫行，而電信網(wǎng)絡(luò)規(guī)模大，無(wú)法避免在某個(gè)時(shí)段和環(huán)節(jié)與因特網(wǎng)相連，因此感染計(jì)算機(jī)病毒，常見(jiàn)和棘手，有些病毒諸如網(wǎng)絡(luò)蠕蟲(chóng)病毒，可以消耗帶寬，造成拒絕服務(wù)攻擊。其次，雖然電信計(jì)算機(jī)網(wǎng)絡(luò)上也有防火墻系統(tǒng)，但是防火墻系統(tǒng)主要阻止的是來(lái)自網(wǎng)絡(luò)外部的，非法的訪問(wèn)，對(duì)于各專業(yè)子系統(tǒng)間的不安全訪問(wèn)無(wú)法發(fā)揮多大作用。再次，盡管部分路由器配置了ACL，但是訪問(wèn)控制表不能實(shí)現(xiàn)復(fù)雜繁復(fù)的安全控制策略。由于所有的系統(tǒng)都有可能存在漏洞，所以，增加了因?yàn)镮OS協(xié)議漏洞造成路由器遭受攻擊的可能性。另外，由于用戶的增加，網(wǎng)絡(luò)結(jié)構(gòu)的不合理也漸漸暴露，因特網(wǎng)的骨干網(wǎng)一般都是網(wǎng)狀結(jié)構(gòu)，容易出現(xiàn)網(wǎng)絡(luò)擁堵。在電信企業(yè)內(nèi)部，由于計(jì)算機(jī)網(wǎng)絡(luò)都是管理存在保留IP地址的做法，因此IP地址的合理分配是網(wǎng)絡(luò)安全的重要保證，曾經(jīng)就發(fā)生過(guò)由于IP地址混亂造成電信計(jì)算機(jī)網(wǎng)無(wú)絡(luò)法使用的現(xiàn)象[1]。

1.2 人為因素帶來(lái)的安全問(wèn)題

工作人員在日常工作中安全意識(shí)薄弱，可能由于各種原因丟失了主機(jī)口令，或者不能及時(shí)對(duì)主機(jī)口令等更新，這使得保護(hù)系統(tǒng)設(shè)備和網(wǎng)絡(luò)的口令容易被黑客破解，黑客獲取了權(quán)限，就會(huì)嚴(yán)重危害電信計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。在公司內(nèi)部的安全管理上，各個(gè)安全機(jī)構(gòu)間信息交流少，不能協(xié)調(diào)配合處理安全事件。比如電信網(wǎng)絡(luò)的交換機(jī)，不同的應(yīng)用系統(tǒng)常劃分了不同的VLAN，VLAN間互相聯(lián)通，但是，在管理上卻是由不同的部門(mén)管理的，這就給協(xié)調(diào)的配合的處理安全事件成了障礙。

1.3 對(duì)電信計(jì)算機(jī)網(wǎng)絡(luò)安全的認(rèn)識(shí)誤區(qū)

首先很多人認(rèn)為電信計(jì)算機(jī)網(wǎng)絡(luò)是很安全的，唯一要提起注意的就是計(jì)算機(jī)病毒，所以計(jì)算機(jī)網(wǎng)絡(luò)安全就是及時(shí)殺毒。這是不全面的看法，網(wǎng)絡(luò)安全還受到外部黑客攻擊，內(nèi)部員工的管理等等的影響。其次，網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生不僅僅都來(lái)自網(wǎng)絡(luò)外部。在實(shí)際運(yùn)行過(guò)程中，很多公司出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，都是來(lái)自公司內(nèi)部。比如浙江省電信系統(tǒng)某市的計(jì)費(fèi)系統(tǒng)破壞事件，就是由于公司內(nèi)部員工把機(jī)密數(shù)據(jù)打包帶走。另外，不能認(rèn)為有CA認(rèn)證系統(tǒng)就夜宴

安全了，CA認(rèn)證確實(shí)在一定時(shí)間內(nèi)代表了一定程度的網(wǎng)絡(luò)安全等級(jí)，但是不是絕對(duì)的安全。2 電信計(jì)算機(jī)網(wǎng)絡(luò)安全措施

2.1 提高網(wǎng)絡(luò)安全的技術(shù)保證

2.1.1 采用防火墻機(jī)制和Anti-DDOS系統(tǒng)

防火墻是一組或者一個(gè)網(wǎng)絡(luò)設(shè)備，比如計(jì)算機(jī)系統(tǒng)或者路由器，目的是加強(qiáng)多個(gè)網(wǎng)絡(luò)間的訪問(wèn)控制，保護(hù)網(wǎng)絡(luò)不受到來(lái)自其他網(wǎng)絡(luò)的攻擊。為了加強(qiáng)電信網(wǎng)絡(luò)的安全，要在每臺(tái)交換機(jī)的操作系統(tǒng)和終端安裝防火墻，防止來(lái)自外網(wǎng)的攻擊。

2.1.2 采用訪問(wèn)控制策略

訪問(wèn)控制策略是電信計(jì)算機(jī)網(wǎng)絡(luò)安全的主要保護(hù)策略。通過(guò)訪問(wèn)控制，可以保證電信網(wǎng)絡(luò)資源不被非法訪問(wèn)和使用。目前訪問(wèn)控制策略的實(shí)現(xiàn)有多種途徑，比如可以使用的入網(wǎng)訪問(wèn)控制，網(wǎng)絡(luò)權(quán)限控制，網(wǎng)絡(luò)服務(wù)器安全控制，網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制，網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制等等措施。這樣的措施實(shí)施后，如果遇到無(wú)權(quán)用戶或者權(quán)限受限用戶，系統(tǒng)就會(huì)自動(dòng)的終止訪問(wèn)或者屏蔽一部分訪問(wèn)的地址。對(duì)于需要保護(hù)的服務(wù)器也可以使用主機(jī)訪問(wèn)控制軟件，鑒別請(qǐng)求人的合法身份以及請(qǐng)求的合法性[2]。

2.1.3 采用入侵檢測(cè)機(jī)制和漏洞檢測(cè)機(jī)制

分布式漏洞掃描器IS主要是通過(guò)模擬入侵，找出網(wǎng)絡(luò)的漏洞，驗(yàn)證系統(tǒng)的安全，從而讓工作人員能夠及時(shí)發(fā)現(xiàn)安全隱患，采取相對(duì)的措施，比如打補(bǔ)丁和優(yōu)化系統(tǒng)，進(jìn)行補(bǔ)救。分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS，和異常流量分析設(shè)備不同，異常流量分析的原理是流量采樣統(tǒng)計(jì)，在大流量的環(huán)境下有較強(qiáng)的檢測(cè)能力，分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)則主要是用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且可以為截獲和追蹤，分析網(wǎng)絡(luò)攻擊行為提供原始數(shù)據(jù)，幫助監(jiān)督和管理計(jì)算機(jī)網(wǎng)絡(luò)安全。

2.2 增強(qiáng)電信網(wǎng)絡(luò)的安全管理

2.2.1 建立有效的電信網(wǎng)絡(luò)安全管理制度

盡管目前我們已經(jīng)不斷提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，但是也不能忽略人員的管理工作。建立有效的管理制度很重要。筆者認(rèn)為可以成立安全管理團(tuán)隊(duì)，系統(tǒng)的負(fù)責(zé)的管理和監(jiān)督電信網(wǎng)路安全。管理小組可以通過(guò)分析日志，檢查漏洞等方法定期對(duì)網(wǎng)絡(luò)的安全進(jìn)行檢驗(yàn)，建立網(wǎng)絡(luò)安全的專人負(fù)責(zé)，對(duì)于口令也要每月修改至少一次。這樣可以充分調(diào)動(dòng)人員的積極性。

2.2.2 增強(qiáng)電信工作人員的安全意識(shí)

電信工作人員的安全和保密意識(shí)非常重要。對(duì)員工定期進(jìn)行培訓(xùn)，讓員工意識(shí)到從最基礎(chǔ)的物理層到接入終端，人員管理等等和安全有關(guān)的所有過(guò)程，都可能出現(xiàn)安全問(wèn)題。在提升他們的專業(yè)能力時(shí)，也要提高他們的保密和安全意識(shí)，對(duì)相關(guān)的法律知識(shí)進(jìn)行宣傳。另外，2.2.3 增強(qiáng)電信網(wǎng)絡(luò)的應(yīng)急能力

為了增加應(yīng)對(duì)突發(fā)情況，應(yīng)當(dāng)做一個(gè)備份系統(tǒng)與其他地方的管理系統(tǒng)相連。這樣當(dāng)遇到重大問(wèn)題時(shí)，這個(gè)系統(tǒng)可以及時(shí)啟動(dòng)，接管發(fā)生問(wèn)題的系統(tǒng)。另外，應(yīng)當(dāng)制定應(yīng)急預(yù)案，并且定期演習(xí)，增加網(wǎng)絡(luò)的應(yīng)急能力。結(jié)論

電信計(jì)算機(jī)網(wǎng)絡(luò)和公眾的通信息息相關(guān)，其安全運(yùn)行關(guān)系到了社會(huì)的穩(wěn)定和經(jīng)濟(jì)活動(dòng)的順利進(jìn)行。隨著電信網(wǎng)絡(luò)不斷擴(kuò)大規(guī)模，面臨著安全問(wèn)題也更加嚴(yán)峻，所以必須加強(qiáng)電信計(jì)算機(jī)網(wǎng)絡(luò)的安全，提高電信網(wǎng)絡(luò)的安全水平。

夜宴

第五篇：論電信網(wǎng)絡(luò)安全管理

論電信網(wǎng)絡(luò)安全管理

摘 要：電信網(wǎng)絡(luò)的安全狀況直接影響著金融、交通、能源等基礎(chǔ)設(shè)施的正常運(yùn)行。盡管目前國(guó)內(nèi)電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全，但安全問(wèn)題仍不容忽視，因?yàn)橛绊戨娦啪W(wǎng)絡(luò)安全的因素是多方面的。電信企業(yè)應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合，搭建深層防御安全體系。

關(guān)鍵詞：電信網(wǎng)絡(luò)；電信網(wǎng)絡(luò)安全；電信運(yùn)營(yíng)商

電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來(lái)越緊密。世界各國(guó)也將電信業(yè)的發(fā)展上升到國(guó)家戰(zhàn)略的角度，通過(guò)發(fā)展電信業(yè)和信息行業(yè)來(lái)推動(dòng)國(guó)家發(fā)展。在這個(gè)大背景下，電信網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家安全的層面。

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP／Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面，在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。

從20世紀(jì)90年代至今，我國(guó)電信行業(yè)取得了跨越式發(fā)展。經(jīng)過(guò)十幾年的建設(shè)，目前我國(guó)電信固定網(wǎng)和移動(dòng)網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信服務(wù)幾乎已經(jīng)滲透到我國(guó)所有地區(qū)、所有行業(yè)、所有不同階層的 群體，而且已經(jīng)融入到了老百姓的日常生活中。同時(shí)，隨著信息技術(shù)在我國(guó)的廣泛運(yùn)用，信息系統(tǒng)已經(jīng)成為金融、交通、能源等基礎(chǔ)設(shè)施的神經(jīng)中樞。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。正是由于存在這種依賴性，電信網(wǎng)一旦出現(xiàn)重大事故，將可能?chē)?yán)重影響國(guó)民經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定?？梢赃@么說(shuō)，電信網(wǎng)已經(jīng)和電力設(shè)施一樣，成為所有基礎(chǔ)設(shè)施的基礎(chǔ)之一。隨著信息化的進(jìn)一步推進(jìn)，社會(huì)對(duì)電 信網(wǎng)的依賴性還會(huì)越來(lái)越強(qiáng)。因此，我們應(yīng)該關(guān)注電信 網(wǎng)的安全問(wèn)題，研究應(yīng)對(duì)措施，做到未雨綢繆。

一、我國(guó)電信網(wǎng)絡(luò)安全的現(xiàn)狀

目前，國(guó)內(nèi)電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建 設(shè)，幾大運(yùn)營(yíng)商都針對(duì)自己的網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立 了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。

中國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。在2000年，原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性，并專門(mén)成立了相關(guān)的網(wǎng)絡(luò)安全管理部門(mén)，著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。這個(gè)安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機(jī)制，依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái)，也就是SOC平臺(tái)，形成了手段保障、技術(shù)保 障和完備的技術(shù)管理體系，以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。目前SOC已經(jīng)進(jìn)入系統(tǒng)建設(shè)的試點(diǎn)階段。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作，來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控，完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐，還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

中國(guó)移動(dòng)的網(wǎng)絡(luò)與信息安全保障體系NISS，對(duì)于涉及公司的所有信息資產(chǎn)，包括通信網(wǎng)、業(yè)務(wù)支撐系統(tǒng)、網(wǎng)絡(luò)部、市場(chǎng)部、財(cái)務(wù)部、研發(fā)部、人力等各種重要信息進(jìn)行保護(hù)。這個(gè)系統(tǒng)在2005年8月份，狙擊波病毒來(lái)襲的時(shí)候發(fā)揮了重要作用。

中國(guó)網(wǎng)通的網(wǎng)絡(luò)安全建設(shè)重點(diǎn)在其寬帶網(wǎng)絡(luò)上。其建立的信息安全管理體系(ISMS)，包括組織管理、技術(shù)保障、運(yùn)作保障三個(gè)子體系，在網(wǎng)絡(luò)層面上對(duì)總部大網(wǎng)(CHINA169+CNCNET)100多臺(tái)骨干網(wǎng)設(shè)備和核心網(wǎng)管系統(tǒng)進(jìn)行加固。建設(shè)SAN網(wǎng)絡(luò)，安全事件存儲(chǔ)可以利用現(xiàn)有存儲(chǔ)系統(tǒng)，實(shí)現(xiàn)集中存儲(chǔ)，方便擴(kuò)展，對(duì)異常流量系統(tǒng)和垃圾郵件系統(tǒng)的建設(shè)在進(jìn)一步完善，對(duì)機(jī)房環(huán)境、動(dòng)力電源系統(tǒng)進(jìn)行規(guī)范管理，對(duì)全網(wǎng)的路由安全策略進(jìn)行管理，等等。

然而，網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開(kāi)放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開(kāi)放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問(wèn)題更加暴露。從狹義的網(wǎng) 絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易，對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

二、影響電信網(wǎng)絡(luò)安全的因素

進(jìn)入21世紀(jì)以來(lái)，電信領(lǐng)域的新技術(shù)、新業(yè)務(wù)、新情況不斷出現(xiàn)，電信網(wǎng)與互聯(lián)網(wǎng)的融合趨勢(shì)日益明顯，電信體制改革不斷推進(jìn)，形成由多運(yùn)營(yíng)商組成的競(jìng)爭(zhēng)格局。這些情況的出現(xiàn)，使原有的電信網(wǎng)絡(luò)安全保障體系面臨新的挑戰(zhàn)。

1、互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來(lái)新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運(yùn)營(yíng)商控制，電信用戶無(wú)法進(jìn)入。此外，每個(gè)用戶都有一個(gè)唯一的號(hào)碼，用戶的身份是明確的。這種機(jī)制有效地避免了電信用戶非法進(jìn)人網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。

IP電話的用戶信息和控制信息都在IP包中傳送。IP電話引人后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信用戶的信息不再與控制信息隔離，電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP／IP協(xié)議基礎(chǔ)上，因此TCP／IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng)，如病毒、黑 客攻擊、非法入侵等，由此可能帶來(lái)電信網(wǎng)絡(luò)中斷甚至癱瘓、拒絕服務(wù)攻擊、非法存取信息、話費(fèi)詐欺或竊聽(tīng)等一系列新問(wèn)題。IP電話的主叫用戶號(hào)碼不在IP包中傳送，因此一旦出現(xiàn)不法行為，無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān)，確認(rèn)這些用戶的身份需要費(fèi)一番周折，加大了打擊難度。

2、新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來(lái)不確定因素

近年來(lái)，電信新技術(shù)不斷涌現(xiàn)，新業(yè)務(wù)層出不窮。NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見(jiàn)的，如提高了網(wǎng)絡(luò)的利用效率，增加了網(wǎng)絡(luò)的靈活性，降低了網(wǎng)絡(luò)的建設(shè)和運(yùn)行維護(hù)成本等。但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WiMAX、IPI-V等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。尤其需要指出的是，隨著寬帶接人的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng)，導(dǎo)致每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

3、運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

1998年以來(lái)，我國(guó)出臺(tái)了一系列針對(duì)電信行業(yè)的重大改 革措施，如政企分離、企業(yè)拆分等。目前，我國(guó)有中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通、中國(guó)網(wǎng)通以及中國(guó)鐵通和中國(guó)衛(wèi)通6家基礎(chǔ)電信運(yùn)營(yíng)企業(yè)。應(yīng)該說(shuō)，這些改革措施極大加快了我國(guó)電信行業(yè)的發(fā)展，目前我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備，電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來(lái)由行業(yè)主管部門(mén)對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各個(gè)運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門(mén)在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題，不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。此外，軍隊(duì)與地方之間的網(wǎng)絡(luò)銜接配合問(wèn)題也需要協(xié)調(diào)落實(shí)。

4、相關(guān)法規(guī)尚不完善，落實(shí)保障措施缺乏力度 隨著電信網(wǎng)基礎(chǔ)性地位的日益顯現(xiàn)，應(yīng)該通過(guò)立法來(lái)明確其安全保障工作，這樣才能保證對(duì)攻擊、破壞電信網(wǎng)行為有足夠的懲罰力度。當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái)，《信息安全法》還處于研究過(guò)程中?，F(xiàn)有的與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性，導(dǎo)致有關(guān)部門(mén)在具體工作中沒(méi)有足夠的法律依據(jù)對(duì)破壞網(wǎng)絡(luò)安全的行為進(jìn)行制裁。

此外，在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開(kāi)發(fā)、市場(chǎng)份額和投資回報(bào)，把經(jīng)濟(jì)效益 放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。

三、保障電信網(wǎng)絡(luò)安全的技術(shù)手段

針對(duì)特殊信息安全當(dāng)前的形勢(shì)，電信企業(yè)要做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合，搭建具有主動(dòng)防御能力的深層防御安全體系。

1、發(fā)散性的技術(shù)方案設(shè)計(jì)思路

在采用電信行業(yè)安全解決方案時(shí)，首先需要對(duì)關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點(diǎn)，按照發(fā)散性的思路進(jìn)行安全分析和保護(hù)，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

2、網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全主要是基于以下幾點(diǎn)考慮：控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn)；劃分并隔離不同安全域；防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。

我們可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。在關(guān)鍵服務(wù)器區(qū)域內(nèi)部，也同樣需要按照安全級(jí)別的不同進(jìn)行安全隔離。與此同時(shí)，還應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立 一個(gè)完善的安全體系，包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御，系統(tǒng)訪問(wèn)控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強(qiáng)系統(tǒng)的總體可控性。

3、網(wǎng)絡(luò)層方案配臵

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)(如，冠群金辰公司的干將／莫邪入侵檢測(cè)系統(tǒng))產(chǎn)品，將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPAN Port)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配臵含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。

4、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配臵方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個(gè)充分利用了Intra—net技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò)，它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范，并在中央安全管理平臺(tái)上部署中央管理控制臺(tái)，對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

5、系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描

系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門(mén)購(gòu)買(mǎi)其他的系統(tǒng)／數(shù)據(jù)庫(kù)漏洞掃描工 具。

[參考文獻(xiàn)] [1]信息產(chǎn)業(yè)部電信管理局．電信網(wǎng)絡(luò)與信息安全管理[M]，北京：

人民郵電出版社．2004：215—228．

[2]諾盛電信咨詢，電信網(wǎng)絡(luò)安全[EB／OL]．(2006—06—21)[2007 一O1一O5]．http：／／004km.cn／news／review／story／0，3800057985，39451650，00．htm．

[3]陳綱．保障電信網(wǎng)絡(luò)安全的五項(xiàng)措施[N／0L]，通信產(chǎn)業(yè)報(bào)，(2003一O9—28)[2007一Ol—O6]．http：／／industry．ceidnet．corn／

ar 238／20o30928／65782 1．htIrI1．